Így lesz egy tanulmányból riogatás: a Gizmodo lehozta, hogy született egy anyag brit és ír egyetemi kutatók együttműködésének eredményeképpen, amely arra a konklúzióra jutott, hogy a kínai eredetű és Kínában értékesített, kínai szoftverrel rendelkező okostelefonok adatokat gyűjtenek és továbbítanak a felhasználók tudta nélkül. Noha a kutatás konklúziója az, hogy ez a fajta, a felhasználó számára nem látható (ezért a beleegyezését sem kérő) háttértevékenység a tanulmányban résztvevő márkák (OnePlus, Redmi, Realme) készülékein a Kínán kívül forgalomba hozott eszközökön jóval korlátozottabb mértékben érhető csak tetten, ám mégis úgy szaladt körbe a techsajtóban a hír, mintha a felsorolt gyártók minden készülékének minden verziója ilyesmit csinálna.
Ettől még a dolog természetesen aggályos, illetve egy újabb aspektussal bővíti a kínai "megfigyelőállamról" alkotott ismereteinket. A kutatatásban három márkától három terméket vizsgáltak: egy Redmi Note 11 Android 11 alapokon nyugvó MIUI 12.5-tel, egy Realme Q3 Pro szintén 11-es Androiddal és Realme UI 2.0-val, valamint egy OnePlus 9R Android 11-gyel és Color OS 12-vel szerepelt a listán, ezek további közös jellemzője pedig az volt, hogy kínai ROM-ot futtattak, vagyis kifejezetten kínai piacra szánt és kínai forgalmazású eszközökről van szó.
Az adatgyűjtés és adattovábbítást a kutatók olyan hálózati környezet megteremtésével szimulálták, amely alapján a készülékek úgy hitték, hogy Kínában működnek, a lokalizációt és a telefon nyelvét is kínaira állították. Az adattovábbítás visszafejtésével kiderült, hogy más helyre és más típusú adatokat küldenek a kínai és a globális ROM-mal szerelt eszközök, ugyanakkor a tanulmány szerzői nem találták annak nyomát, hogy GPS információk alapján változna ez az eszközök használata során, vagyis egy kínai lokalizált szoftveres telefon akkor is jóval több személyes adatot továbbít, ha a tulajdonosa azt Kínán kívül használja. Ez annak fényében pikáns kissé, hogy egyébként ezek az eszközök a geolokációs adatokat is továbbítják, amiből azt a konklúziót vonták le a kutatók, hogy bárhol is használják a kínai szoftveres eszközöket, azok jelentős mennyiségű személyes információt küldenek különböző kínai szerverekre. A tanulmány megállapítja, hogy ha összevetjük a kínai és a globális szoftververziók ilyen jellegű tevékenységeit, akkor előbbiek háromszor-négyszer nagyobb adatmennyiséget küldenek "haza" jóval több szenzitív információval. Érdemes tudni, hogy Kínában a Google szolgáltatásai nem elérhetők, így ezeken a telefonokon nincsenek rajta a keresőóriás szoftverei, a kutatás készítői ezért nem vették figyelembe, hogy egy globális piacra szánt szoftver a Google szerverei felé mennyi adatot küld.
[+]
Fontos megemlíteni, hogy a gyári alkalmazások nem kérnek a felhasználóktól engedélyt ilyen jellegű tevékenységekre, ráadásul minden androidos telefon továbbít adatokat, amelyek alapvetően a készülékkel kapcsolatos információkat rejtik. Ez elengedhetetlen például az OTA szoftverfrissítésekhez, de az eszközgyártók és a Google maguk is gyűjtenek adatokat diagnosztikai célokból, ezek azonban nem tartalmaznak személyes információkat és beazonosítható ügyféltevékenységeket. Szintén szükség van bizonyos adatokra az alapvető működéshez (SIM száma, IMEI), illetve a felhasználók beleegyezésével a különböző gyártókhoz tartozó felhőszolgáltatások is azt igénylik, hogy az ügyfelek létrehozzanak egy fiókot annak érdekében, hogy a gyártók többletszolgáltatásit elérhessék. Ezek azonban megfelelnek az általánosan elfogadott GDPR irányelveknek.
A kutatásban résztvevő három telefonnal ugyanazokat a tevékenységeket végezték el a szerzők, ebben szerepelt SIM nélkül és SIM-et behelyezve WiFi hálózatra való kapcsolódás, hívásindítás, üzenetküldés, különböző alkalmazások megnyitása és teljes reset is. A kutatók azt tapasztalták, hogy a kínai szoftverben gyárilag elhelyezett külsős alkalmazások (mint amilyenek a Tencent appok, a Youku, a Baidu Maps) anélkül küldenek tovább személyes adatokat, hogy ezekre engedélyt kérnének, elsősorban az előretelepített mivoltukból fakadóan megkerülve a felhasználó értesítését és engedélyezési lehetőségét.
A telefonok által küldött adatok visszafejtését követően számos érdekességre bukkantak a tanulmány szerzői. Míg a global ROM-mal szerelt eszközök jellemzően csak az IMEI-számot küldték tovább, a kínai szoftveres telefonok egy sereg egyéb készülékinformációt is átadtak kínai szervereknek, többek között a kijelzőméret, vagy a chipset típusát, ráadásul az IMEI számot a China Unicom és a China Mobile számára is elküldik annak ellenére, hogy nem került be ilyen SIM a telefonokba. Szintén komoly eltérés mutatkozik a lokációs adatok kezelésében, globális szoftverrel a SIM-hez tartozó országkód kerül csak továbbításra (a Redmi a használt WiFi hálózat SSID-jét is továbbküldi), kínai ROM esetén viszont komplett helymeghatározási adatok vándorolnak át backend szerverekre, plusz a már említett két, kínai mobil operátor szervereire.
[+]
Az igazán aggasztó a személyes adatok kezelése. Kínai szoftververzió esetén ugyanis például a Redmi simán notifikálta az otthoni szervereket különböző alkalmazások megnyitásáról, de mindhárom mobil átadja azt az információt is, hogy milyen hosszú hívásokat indított a felhasználó, ráadásul a SIM-kártya számát is megkapják az operátori szerverek. Kínában a telefonszámok a személyi azonosítóhoz vannak kötve, vagyis egyértelműen azonosítható, hogy kicsoda és mit csinált a telefonnal. Gyűjtik és küldik a készülékek, hogy milyen számot hívtunk, mennyi ideig beszéltünk az illetővel, kivel és mennyi üzenetet váltottunk. A kutatók megállapítják, hogy ezekből az adatokból akár kapcsolati hálókat is lehet építeni. Global ROM esetén ezek az adatok nem jutnak ki a készülékről, csupán anonim diagnosztikát küldenek az eszközök.
A tanulmány szerzői arra a konklúzióra jutnak, hogy a kínai szoftverrel szerelt telefonok esetében az adatszivárgás mértéke veszélyes. Ugyanakkor azt is megállapítják, hogy a globális ROM-mal a nemzetközi piacon hivatalosan értékesített termékeknél nem aggályos a kommunikáció mértéke és annak tartalma. Mindazonáltal ez a kutatás is felhívja a figyelmet arra, hogy óvatosan érdemes kínai lokalizációjú telefonokat rendelni, olyan esetet például ez a tanulmány sem vizsgál, hogy az eredetileg hazai piacra szánt kínai mobilokon ROM-ot cserélve mennyi marad meg ezekből az adatküldési megoldásokból. A kutatás mindezek mellett újfent rávilágít arra, hogy Kínában egészen más szinten zajlik az állampolgárok követése és megfigyelése, mint amihez az európai fogyasztó hozzászokott. A Gizmodo a cikk végén megjegyzi, hogy az érintett gyártók nem reagáltak a tanulmány eredményeire. Ám mivel elsősorban a belpiacos kínai modellek és szoftverek érintettek, ezért nagy eséllyel nem is fognak.
